Een bedreigingsacteur met banden met China wordt toegeschreven aan een vijf maanden durende inbraak gericht op een Russische IT-dienstverlener, wat de uitbreiding van de hackgroep naar het land buiten Zuidoost-Azië en Zuid-Amerika markeert.
De activiteit, die plaatsvond van januari tot mei 2025, wordt door Symantec, eigendom van Broadcom, toegeschreven aan een bedreigingsactoren die zij volgt als Juwelbugwaarvan wordt gezegd dat het overlapt met clusters die bekend staan als CL-STA-0049 (Palo Alto Networks Unit 42), Earth Alux (Trend Micro) en REF7707 (Elastic Security Labs).
De bevindingen suggereren dat Rusland niet verboden terrein is voor Chinese cyberspionageoperaties, ondanks de toegenomen ‘militaire, economische en diplomatieke’ betrekkingen tussen Moskou en Peking door de jaren heen.
“Aanvallers hadden toegang tot codeopslagplaatsen en softwarebouwsystemen die ze mogelijk konden gebruiken om supply chain-aanvallen uit te voeren gericht op de klanten van het bedrijf in Rusland”, aldus het Symantec Threat Hunter-team in een rapport gedeeld met The Hacker News. “Opmerkelijk genoeg waren de aanvallers bezig met het exfiltreren van gegevens naar Yandex Cloud.”
Er wordt geschat dat Earth Alux actief is sinds ten minste het tweede kwartaal van 2023, met aanvallen die voornamelijk gericht zijn op de overheid, technologie, logistiek, productie, telecommunicatie, IT-diensten en detailhandel in de regio’s Azië-Pacific (APAC) en Latijns-Amerika (LATAM) om malware zoals VARGEIT en COBEACON (ook bekend als Cobalt Strike Beacon) te verspreiden.
Aan de andere kant is waargenomen dat de aanvallen van CL-STA-0049/REF7707 een geavanceerde achterdeur verspreiden genaamd FINALDRAFT (ook bekend als Squidoor) die zowel Windows- als Linux-systemen kan infecteren. De bevindingen van Symantec markeren de eerste keer dat deze twee activiteitenclusters met elkaar zijn verbonden.
Bij de aanval op de Russische IT-dienstverlener zou Jewelbug gebruik hebben gemaakt van een hernoemde versie van Microsoft Console Debugger (“cdb.exe”), die kan worden gebruikt om shellcode uit te voeren en de toelatingslijst voor applicaties te omzeilen, maar ook om uitvoerbare bestanden te starten, DLL’s uit te voeren en beveiligingsoplossingen te beëindigen.
Er is ook waargenomen dat de bedreigingsacteur inloggegevens dumpt, persistentie tot stand brengt via geplande taken en probeert sporen van zijn activiteit te verbergen door Windows-gebeurtenislogboeken te wissen.
Het richten van IT-dienstverleners is van strategisch belang, omdat dit de deur opent voor mogelijke aanvallen op de toeleveringsketen, waardoor bedreigingsactoren het compromis kunnen benutten om meerdere downstream-klanten tegelijk binnen te dringen via kwaadaardige software-updates.
Bovendien is Jewelbug ook in verband gebracht met een inbraak bij een grote Zuid-Amerikaanse overheidsorganisatie in juli 2025, waarbij een voorheen ongedocumenteerde achterdeur werd ingezet die naar verluidt in ontwikkeling is – wat de zich ontwikkelende capaciteiten van de groep onderstreept. De malware maakt gebruik van Microsoft Graph API en OneDrive voor command-and-control (C2) en kan systeeminformatie verzamelen, bestanden van gerichte machines opsommen en de informatie uploaden naar OneDrive.
Door het gebruik van de Microsoft Graph API kan de bedreigingsacteur opgaan in het normale netwerkverkeer en blijven er minimale forensische artefacten achter, wat de analyse na een incident bemoeilijkt en de verblijftijd voor bedreigingsactoren verlengt.
Andere doelwitten zijn onder meer een IT-provider gevestigd in Zuid-Azië en een Taiwanees bedrijf in oktober en november 2024, waarbij de aanval op laatstgenoemde gebruik maakt van side-loading-technieken van DLL om kwaadaardige ladingen te droppen, waaronder ShadowPad, een achterdeur die exclusief wordt gebruikt door Chinese hackgroepen.
De infectieketen wordt ook gekenmerkt door de inzet van de KillAV-tool om beveiligingssoftware uit te schakelen en een publiekelijk beschikbare tool genaamd EchoDrv, die misbruik van de lees-/schrijfkwetsbaarheid van de kernel in de ECHOAC anti-cheat driver mogelijk maakt, als onderdeel van wat lijkt op een BYOVD-aanval (breng je eigen kwetsbare driver).
Ook werd gebruik gemaakt van LSASS en Mimikatz voor het dumpen van inloggegevens, vrij beschikbare tools zoals PrintNotifyPotato, Coerced Potato en Sweet Potato voor ontdekking en escalatie van bevoegdheden, en een SOCKS-tunnelinghulpprogramma genaamd EarthWorm dat is gebruikt door Chinese hackploegen als Gelsemium en Lucky Mouse.
“De voorkeur van Jewelbug voor het gebruik van clouddiensten en andere legitieme tools bij zijn activiteiten geeft aan dat het voor deze groep van het allergrootste belang is om onder de radar te blijven en een heimelijke en aanhoudende aanwezigheid op slachtoffernetwerken te vestigen”, aldus Symantec.
De onthulling komt op een moment dat het Taiwanese National Security Bureau waarschuwde voor een toename van het aantal Chinese cyberaanvallen gericht op zijn overheidsdepartementen, en het ‘online trollenleger’ van Peking opriep voor pogingen om verzonnen inhoud te verspreiden via sociale netwerken en het vertrouwen van mensen in de regering te ondermijnen en wantrouwen in de VS te zaaien, meldde Reuters.
